[Security] JWT(Json Web Token) 인증 방식

JWT(JSON Web Token)은 인증에 필요한 정보들을 암호화 시킨 JSON 토큰을 의미합니다.

JWT 기반 인증 방식은 JWT을 HTTP 헤더에 실어 서버가 클라이언트를 식별하는 방식입니다.

❗️JWT(Json Web Token)

클라이언트에게 전달할 JWT = Base64 Encode(Header + payload + Signature)

JWT에는 각각의 구성요소가 점(.)으로 구분되어 있으며 구성요소는 3가지입니다.

Header : 토큰의 타입, JWT 생성에 사용될 해쉬 알고리즘을 저장합니다.

Payload : 토큰에서 사용할 정보의 조각들인 Claim 이 담겨있습니다. (실제 JWT 를 통해서 알 수 있는 데이터)

즉, 서버와 클라이언트가 주고받는 시스템에서 실제로 사용될 정보에 대한 내용을 담고 있는 섹션입니다.

Signature : 시그니처는 "정의한 Header와 Palyoad를 Base64로 인코딩한 값 + 서버의 Secret Key(Base64 인코딩은 선택)"을 Header에서 정의한 알고리즘으로 해시화한 값입니다.

➡️ Signature : HS_Algorithm(Base64Encode(Header) + Base64Encode(Payload) + Secret Key )

▶︎ JWT = Base64 Encode(Header + payload + Signature(HS_Algorithm(Base64Encode(Header) + Base64Encode(Payload) + Server's Secret Key))

가장 중요한건 서버의 시크릿 키!

Header와 Payload는 단순히 인코딩된 값이기 때문에 제 3자가 Decode하여 및 조작할 수 있지만, Signature는 서버 측에서 관리하는 비밀키가 유출되지 않는 이상 복호화할 수 없습니다. 따라서 Signature는 토큰의 위변조 여부를 확인하는데 사용됩니다.

❗️JWT 장점

인증 정보에 대한 별도의 저장소가 필요 없습니다. (서버는 클라이언트로부터 받은 토큰을 검증만 하면 ok)

서버에서 가장 피해야 할 것은 데이터베이스 조회입니다.
서버 자체가 죽는 경우도 있지만, 대부분 DB가 터져서 서버도 같이 죽는 경우가 허다하기 때문이다.

Header와 Payload를 가지고 Signature를 생성하므로 데이터 위변조를 막을 수 있습니다.
JWT는 토큰에 대한 기본 정보와 전달할 정보 및 토큰이 검증되었음을 증명하는 서명 등 필요한 모든 정보를 자체적으로 지니고 있습니다.

❗️JWT 단점

토큰 인증 방식은 stateless 특징을 가지기 때문에, 토큰은 클라이언트 측에서 관리하고 저장합니다. 때문에 토큰 자체를 탈취당하면 대처하기가 어렵게 됩니다.
- JWT를 그대로 사용하지 않고, Access Token / Refresh Token으로 이중으로 나누어 인증을 하는 방식으로 대처합니다.
토큰 자체에 정보를 담고 있으므로 양날의 검이 될 수 있습니다. 따라서 중요한 정보는 페이로드에 담지 않는것이 좋습니다.

❗️JWT를 이용한 인증 과정

1. 클라이언트가 서버에 로그인 요청을 보냅니다.

2. 서버는 클라이언트의 ID와 PW를 확인 후, Header, Payload, Signature를 정의합니다.

+ Header, Payload, Signature를 한번 더 Base 64로 인코딩하여 Access Token과 Refresh Token를 생성하여 클라이언트에게 발급합니다.

Access Token : 클라이언트가 갖고있는 실제로 유저의 정보가 담긴 토큰으로, 클라이언트에서 요청이 오면 서버에서 해당 토큰에 있는 정보를 활용하여 사용자 정보에 맞게 응답을 진행합니다.

Refresh Token: 새로운 Access Token을 재발급해주기 위해 사용하는 토큰. 해당 토큰은 보통 데이터베이스에 유저 정보와 같이 기록됩니다.

3. 클라이언트는 서버로부터 받은 JWT(Access Token, Refresh Token)을 로컬 저장소에 저장하고 이 후 요청할 때 액세스 토큰을 헤더에 넣어 요청을 보냅니다.

4. 서버에서는 액세스 토큰을 검증하고, 문제가 없으면 응답해줍니다.

5. 만약 클라이언트의 액세스 토큰의 유효기간이 지나면 리프레시 토큰을 서버에 전달하여 액세스 토큰을 재발급 요청합니다.

6. 리프레시 토큰을 검증하여 액세스 토큰을 재발급하여 클라이언트에 전달합니다.

로그아웃을 하면 Access Token과 Refresh Token을 모두 만료시킵니다.

<참고 자료>

JWT + Spring Security 를 이용한 로그인 고찰 - 1

https://spring.io/guides/topicals/spring-security-architecture Spring Security Architecture this topical is designed to be read and comprehended in under an hour, it provides broad coverage of a topic that is possibly nuanced or requires deeper understandi

onejunu.tistory.com

🌐 JWT 토큰 인증 이란? (쿠키 vs 세션 vs 토큰)

Cookie / Session / Token 인증 방식 종류 보통 서버가 클라이언트 인증을 확인하는 방식은 대표적으로 쿠키, 세션, 토큰 3가지 방식이 있다. JWT를 배우기 앞서 우선 쿠키와 세션의 통신 방식을 복습해

inpa.tistory.com

🌐 Access Token & Refresh Token 원리

Access Token & Refresh Token 이번 포스팅에서는 기본 JWT 방식의 인증(보안) 강화 방식인 Access Token & Refresh Token 인증 방식에 대해 알아보겠다. 먼저 JWT(Json Web Token) 에 대해 잘 모르는 독자들은 다음 포스

inpa.tistory.com

저작자표시

'📕 Java&Spring > Security' 카테고리의 다른 글

[Security] Jwt Authorization 구현 by Overriding Spring Security 인증 아키텍쳐 (0)	2023.06.05
[Security] Jwt Authentication 구현 by Overriding Spring Security 인증 아키텍쳐 (0)	2023.06.05
[Security] 쿠키 vs 세션 vs 토큰 (0)	2023.06.02
[Security] OAuth2.0 네이버, 카카오 로그인 기능 추가 (0)	2023.06.01
[Security] OAuth2.0 로그인 후처리 - 권한 부여, 데이터베이스 저장 (0)	2023.05.31

블로그의 정보

Study Repository

rlaehddnd0422

[Security] JWT(Json Web Token) 인증 방식

❗️JWT(Json Web Token)

❗️JWT 장점

❗️JWT 단점

❗️JWT를 이용한 인증 과정

'📕 Java&Spring > Security' 카테고리의 다른 글

블로그의 정보

활동하기

티스토리툴바

❗️JWT(Json Web Token)

❗️JWT 장점

❗️JWT 단점

❗️JWT를 이용한 인증 과정

'📕 Java&Spring > Security' 카테고리의 다른 글

블로그의 정보

활동하기

공유하기

다른 글

티스토리툴바